1. Use os Serviços de Segurança da OCI para Proteção de Dados com o Oracle Cloud VMware Solution
  2. Use os Serviços de Segurança da OCI para Proteção de Dados com o Oracle Cloud VMware Solution

Use os Serviços de Segurança da OCI para Proteção de Dados com o Oracle Cloud VMware Solution

O Oracle Cloud VMware Solution fornece um ambiente de nuvem gerenciado pelo cliente, baseado no VMware nativo, instalado na tenancy de um cliente e oferece controle completo usando ferramentas familiares do VMware.

A Oracle Cloud Infrastructure (OCI) é uma oferta de infraestrutura como serviço de última geração (IaaS) arquitetada com princípios de design de segurança em primeiro lugar. Esses princípios incluem virtualização de rede isolada e implantação de host físico predefinida, que antes eram difíceis de alcançar com designs de nuvem pública mais antigos. Com esses princípios de design, a OCI ajuda a reduzir o risco de ameaças persistentes avançadas.

Esta arquitetura de referência descreve as opções de integração do Oracle Cloud VMware Solution com camada de Proteção de Dados da OCI e serviços de segurança para atender aos requisitos de execução de cargas de trabalho críticas e confidenciais.

Arquitetura

Essa arquitetura de referência lógica se concentra principalmente na camada Proteção de Dados e descreve como os Serviços de Segurança da OCI podem ser usados para Proteção de Dados com cargas de trabalho do Oracle Cloud VMware Solution.

Os seguintes serviços de segurança nativos do OCI fazem parte da camada Segurança do OCI - Proteção de Dados.

  • O serviço OCI Vault ajuda a gerenciar centralmente as chaves de criptografia principais que protegem dados e as credenciais secretas que podem ser usadas para acessar o OCI Block Storage, o OCI File Storage ou o OCI Object Storage. O gerenciamento de chaves e segredos também fazem parte do OCI Vault. As chaves são chaves de criptografia mestras usadas para criptografar o armazenamento de objetos e buckets. Além disso, os segredos podem ser protegidos (por exemplo, senhas de banco de dados). Ambos são gerenciados centralmente usando o serviço OCI Vault
  • O serviço Oracle Data Safe protege dados confidenciais e regulamentados armazenados no banco de dados Oracle em execução dentro da vCenter - Camada de Gerenciamento. O banco de dados Oracle é integrado ao Oracle Data Safe usando conectores de BD do Data Safe.
  • O serviço OCI Certificates ajuda a fornecer acesso seguro TLS/SSL a servidores, aplicativos web e assim por diante. O Administrador pode criar e gerenciar hierarquias de Autoridades de Certificação (CA) privadas e certificados TLS que se integram ao serviço OCI Load Balancing.

Criptografia de Dados: O armazenamento do OCI criptografa dados em repouso e em trânsito por padrão usando o algoritmo AES (Advanced Encryption Standard) com criptografia de 256 bits. Os dados do plano de controle em trânsito são criptografados usando TLS (Transport Layer Security) 1.2 ou posterior.

O diagrama a seguir ilustra essa arquitetura de referência.


A descrição de ocvs_data_security_arch.png é exibida a seguir
Descrição da ilustração ocvs_data_security_arch.png

ocvs-data-security-arch-oracle.zip

A arquitetura tem os seguintes componentes:

  • Serviços de Segurança na Nuvem do OCI

    O OCI Security ajuda as organizações a reduzir o risco de ameaças à segurança para cargas de trabalho na nuvem. Esta arquitetura de referência de segurança do Oracle Cloud VMware Solution descreve os recursos da camada de Proteção de Dados do OCI.

    O serviço OCI Vault gerencia centralmente chaves de criptografia e credenciais secretas para a camada de armazenamento e o repositório de backup do OCI. Essas chaves de criptografia protegem os dados e as credenciais secretas. O serviço Data Safe está ativado para monitorar e avaliar o destino da instância do banco de dados em VMware usando conectores. O serviço de certificado fornece recursos de emissão, armazenamento e gerenciamento de certificados. Esses certificados podem ser implantados em um balanceador de carga.

  • Oracle Cloud VMware Solution

    O Oracle Cloud VMware Solution implanta o data center definido por software (SDDC) VMware nos principais serviços de infraestrutura do Oracle Cloud. Os servidores DenseIO bare metal do OCI são usados para executar o hypervisor VMware, também conhecido como ESXi, que oferece virtualização de computação. As máquinas virtuais em execução na Camada de Gerenciamento vCenter consomem armazenamento de dados vSAN ou Armazenamento em Blocos do OCI como opção de armazenamento principal. No entanto, o Oracle Cloud VMware Solution também pode aproveitar o OCI Block Volume e o OCI File Storage como opções de armazenamento externo.

    As máquinas virtuais em execução no Oracle Cloud VMware Solution usam as seguintes opções de armazenamento e backup.
    • O vSAN Storage é uma solução de armazenamento predefinida de software oferecida no ambiente Oracle Cloud VMware Solution. O vSAN é um armazenamento empresarial e suporta criptografia usando o Provedor de Chaves Nativo vSphere ou um provedor KMS (Key Management Service) externo.
    • O OCI Block Volume é apresentado ao servidor VMware ESXi como um destino iSCSI para armazenamento de máquina virtual. Os recursos de segurança do OCI, como KMS, criptografia e vaults, se aplicam aos dados de VM armazenados no OCI Block Volume.
    • O File Storage permite o uso do serviço OCI File Storage como armazenamento NFS para máquinas virtuais. Os recursos de segurança do OCI, como KMS, criptografia e vaults, são aplicáveis às VMs armazenadas no armazenamento NFS com o apoio do OCI File Storage.
    • O Object Storage armazena as cópias de backup da VM do Oracle Cloud VMware Solution. O Armazenamento de Objetos não pode ser usado para executar as VMs. Todos os recursos de segurança do OCI para armazenamento de objetos se aplicam aos arquivos de backup da VM.

A tabela a seguir descreve como o OCI Security Services pode ser usado para Proteção de Dados com o Oracle Cloud VMware Solution.

Serviço do OCI Proteção de dados com a solução VMware do Oracle Cloud
Segurança de Dados O Data Safe é um serviço nativo do OCI para proteger o banco de dados Oracle em execução no OCI ou no ambiente local. O banco de dados Oracle em execução no SDDC do Oracle Cloud VMware Solution como uma máquina virtual pode ser integrado ao Data Safe usando conectores do Data Safe.
criptografia do serviço Block Volume O OCI Block Volume é montado como Armazenamento de Dados externo para o SDDC VMware oferecendo chaves gerenciadas pelo OCI/Gerenciadas pelo cliente.
Criptografia de Armazenamento de Arquivos O serviço OCI File Storage é montado como um Armazenamento de Dados NFS externo para VMware o SDDC que oferece chaves gerenciadas pelo OCI/Gerenciadas pelo cliente.
Criptografia do Object Storage
  • O OCI Object Storage não pode ser usado com o SDDC do Oracle Cloud VMware Solution como uma conexão direta ou um armazenamento de dados externo.
  • O OCI Object Storage é usado como repositório de backup e arquivamento para as VMs do SDDC VMware.
  • Soluções de backup como Veeam e Commvault podem ser integradas com o OCI Object Storage, permitindo que você mantenha os dados de backup de arquivamento criptografados.
  • A solução de backup também mantém os dados de backup da camada de desempenho no OCI Block Volumes para garantir a criptografia dos dados de backup.
Vault
  • O OCI Vault não pode ser usado com o armazenamento vSAN. O armazenamento de dados vSAN suporta apenas os provedores de KMS externo e Provedor de Chaves Nativas vSphere. Para obter mais informações, consulte o link VMware Provedores de KMS de terceiros na seção Explorar Mais.
  • O OCI Vault só poderá ser usado com o Oracle Cloud VMware Solution se os serviços de armazenamento do OCI forem usados como uma opção de armazenamento compartilhado para máquinas virtuais.
Certificados
  • O Oracle Cloud VMware Solution é um serviço nativo do OCI por design e permite integração nativa com outros serviços do OCI.
  • As VMs do Oracle Cloud VMware Solution podem usar o OCI LBaaS para qualquer requisito de publicação de aplicativo. O descarregamento de SSL para esses aplicativos pode ser feito integrando certificados SSL do serviço OCI Certificates.
  • Para aplicativos voltados para o público no OCI, você deve obter os certificados públicos assinados por terceiros e importá-los para o serviço OCI Certificates. Esses certificados podem ser importados para LBaaS e servidores Web de backend para SSL de ponta a ponta.

Explorar Mais

Para saber mais sobre os recursos dessa arquitetura de referência, confira esses recursos adicionais.

Confirmações

  • Authors: Dev Gawale, Sandeep Khedekar